보안

사이버 전투에 대해 몰랐던 10가지

Carolyn Duffy Marsan | Network World 2009.06.10

"어떤 강력한 국가가 인접국을 합병하기 위해 인접국의 최대 동맹이 가진 재정, 에너지, 통신 및 미디어 시스템을 끊고자 일주일에 걸친 사이버 전쟁에 돌입하는 상황을 상상해보자. 일주일 후 침략국이 인접국을 상대로 한 전면적인 사이버 전쟁에 돌입한다. 인접국 동맹의 방어가 약해지면서 그 인접국은 일주일도 안 돼 침략국의 속주가 되는데 동의한다."

 

지난 주 열린 사이버 인프라 보호 컨퍼런스에서 참여한 미국 국방대학교의 여러 전문가에 따르면, 이 시나리오가 영 억지는 아니다.

 

사이버 전쟁에 대한 패널의 논의는 오바마 행정부의 사이버보안 구상안에 대한 경각심 고취와 연방지출 추진을 고려할 때 시의적절하다. 오바마 대통령은 국가안전보장이사회 및 국가경제위원회에 보고하는 고위급 사이버보안 조정관을 새로이 임명하는 것을 포함하는 새로운 사이버 보안 계획을 이달 초 발표했다.

 

오바마 대통령은 “사이버 위협은 미국이 국가로써 직면한 가장 심각한 경제적 도전이며, 국가 보안의 도전”임이 분명하다며, “우리는 정부로써, 한 국가로써 그만큼 대비되어 있지 않은 것이 분명하다”고 강조했다.

 

미국 군대에 전문적 교육을 제공하는 최고의 대학인 미 국방대학교의 전문가들은 민간 부문에서 자신이 미래 사이버 전투의 표적이 될 수 있음을 깨닫는 것이 중요하다고 말한다.

 

국방대학교의 정보작전 교수인 댄 큐엘은 “우리의 적은 우리의 약점을 찾고 있다”며, “우리는 점차 정보 의존적이면서도 그 이상 가는 군사작전을 실시하고 있다. 우리가 사는 전세계 사회는 크리티컬한 인프라에 대한 의존이 점점 커지고 있으며, 그러한 인프라는 전세계적 경제에서 상호 연결되고 있다”고 설명했다.

 

큐엘은 테러리스트나 헥티비스트가 사이버공격을 개시하는 것은 돈이 많이 들지 않지만, 미국 같은 한 국가가 이러한 위협에 대비해 한 국가의 네트워크와 시스템을 방어하는 데에는 비용도 많이 들고 어렵기도 하다고 지적한다.

 

큐엘은 “더 취약한 쪽이 매우 중요한 비대칭적 이점을 가질 수 있다”면서 “또 최초의 행위자가 매우 중요한 이점을 가질 수도 있다. 사이버 영역에서의 승리가 전쟁의 향방을 결정할 수 있다”고 강조했다.

 

더 취약한 쪽이 사이버전에서 어떻게 유리한가에 대한 한 예시는 뭄바이에서 발생했던 최근의 테러리스트 공격에서 알 수 있다. 국방대학교의 연구원인 스튜어트 스타는 공격자들은 공격 위치를 정하는데 구글 어스와 GPS 기술을 사용했다며, “그들은 값싼 장비로 수백 억 달러의 효과를 보았다. 이런 공격자들은 상업적 투자의 이점을 활용해 막대한 이득을 얻고 있다”고 말했다.

 

이런 군사 전문가의 전통적 지혜를 토대로 사이버 전투에 대해 몰랐던 10가지 사실을 짚어본다.

 

1. 맨 처음 전투는 이겨야 한다

재래전에서 최초의 전투에 승리한 국가가 반드시 그 전쟁을 이기는 것은 아니다. 진주만을 생각해봐라. 그러나 사이버전에서는 반드시 맨 처음 전투에 이겨야 한다. 또 한 번의 기회는 없을 수 있기 때문이다. 적이 협공을 통해 크리티컬한 인프라를 쓸어버리면, 효과적 방어를 개시하지도 못하고 어쩔 수 없이 항복해야 할 수도 있다.

 

2. 최초의 전투는 순식간에 끝날 수 있다

진주만과는 달리 사이버 공격은 비밀스럽다. 뭔가 잘못됐다고 깨닫기도 전에 적은 이미 방어망을 뚫고 시스템을 공격해 데이터를 훔치거나 조작했을 수 있다. 일단 사이버 공격을 알아챈다면, 누가 그것을 왜 했는지를 알아내야 한다. 오늘날 이런 종류의 컴퓨터 과학수사는 몇 일이나 몇 주가 소요될 수 있다. 그 때쯤이면 이미 전투에서 진 것일 수도 있다.

 

3. 사이버전에는 완력보다는 미묘하고 표적을 삼는 공격이 개입될 수 있다

대부분의 사람들은 사이버전을 러시아 행동주의자들이 2007년 에스토니아를 겨냥했던 대대적인 서비스 거부(DoS) 공격과 같다고 생각한다. 그러나 사이버전은 그렇게 대규모로 감행될 필요가 없다. 전체적인 전력망을 치는 대신, 해커는 특정한 공중방어 시스템을 지원하는 변전소를 치는 경우가 있다. 재래전의 정밀유도 미사일만큼이나 정밀유도 사이버 공격을 받을 수 있는 것이다.

 

4. 적의 목표는 파괴보다는 혼란을 야기하는 것일 수 있다

우리는 적이 전투를 벌이는 동안 건물이나 교통체계를 파괴하는 것으로 생각하는 경향이 있다. 그러나 사이버전의 정치적 목표는 인프라를 파괴하기보다 시민 사이의 혼란을 불러일으키는 것일 수 있다. 예컨대 적이 한 나라의 재정시스템을 대상으로 사이버공격을 감행했고 모든 사람의 돈이 은행에서 사라진 것처럼 보인다면 어떻게 하겠는가? 그런 공격이라면 혼란 야기를 위해 어떤 은행 건물이든 그것을 폭파할 필요는 없을 것이다.

 

5. 데이터 절도나 파괴보다는 데이터 조작이 심각한 위협이다

걸프전 기간 동안 일단의 네덜란드 해커가 수십 개의 미국 군사 컴퓨터 시스템을 공격해 사담 후세인에게 도움을 주었다는 주장이 나왔다. 그런 침해가 밝혀졌을 때 군은 일부 배치를 멈춰야 했고 그들의 데이터베이스에 있는 자료가 정확하고 해커에 의해 조작되지 않았음을 입증해야 했다. 이런 사건은 해킹을 당한 컴퓨터 시스템 내의 그릇된 정보가 한 나라의 사이버공격 대응 능력에 어떻게 피해를 줄 수 있는지를 보여준다.

 

6. 사설망이 표적이 된다

미국에서 대부분의 핵심 인프라, 즉 에너지, 수송체계, 정보통신 및 금융은 민간 영역이다. 이들 네트워크를 운영하는 기업들은 그들이 사이버전에서 확실히 표적이 되고 있음을 이해해야 하며, 그에 따라 자사의 네트워크, 시스템 및 데이터 보호를 위해 지출을 감행해야 한다. 이는 군사 전문가가 크리티컬 인프라의 운영자가 공격 대상이 되기 전에 정부와 손을 잡고 절차와 규약을 정하도록 권고하는 이유다.

 

7. 민간 부문의 네트워크가 공격 받을 때 국방부가 억제/통제를 담당할 것이다

크리티컬 인프라의 소유주와 운영자가 사이버 보안에 책임이 있다는 인식은 잘못된 것이다. 그런 관점은 사이버전에 직면해 유지될 수 없을 것이라고 전문가들은 진단한다. 군이 발전소 주변의 영공과 지면 보안에 책임을 지는 것처럼 사이버 공격이 발생한다면 그 발전소의 사이버 보안에도 책임을 져야 한다고 전문가들은 경고한다.

 

8. 사설망은 사이버 공격 개시에 사용될 수 있다

기업이 자사의 네트워크를 적절히 보호하지 않는다면, 그들의 시스템은 봇넷이 접수해 사이버전에 이용할 수 있다. 예컨대 에스토니아에 대한 DoS 공격 개시에 사용된 컴퓨터의 2/3은 러시아 헥티비스트에 의해 통제되긴 했지만, 모두 미국의 테두리 안에 있었다고 전문가들은 전한다. 일반적으로 사이버 공격에 사용된 기기는 공격자의 소유가 아니다. 대개의 회사들은 자사의 네트워크 자산이 쉽게 사이버전에 사용될 수 있음을 깨닫지 못한다.

 

9. 내부의 위협을 좌시하지 말라

네트워크에서 발생하는 최대의 취약점은 컴퓨터와 데이터에 대한 합법적 접근을 갖는 내부자에서 나온다. 같은 위협이 사이버전에서도 존재한다. 이런 위협이 발생하는 한 가지 방법은 적이 네트워크 운영자의 구성원을 납치한 후 네트워크 운영자가 악성 프로그램을 설치하게끔 만드는 것이다. 그래서 크리티컬 인프라를 운영하는 정부 기관과 민간 회사들이 자사의 직원에 대한 적절한 보안 통제장치를 필요로 하는 것이다.

 

10. 사이버전도 전쟁이다

사이버전을 기존의 전쟁과 분리해 생각하는 것은 실수다. 사이버전은 물리적 전쟁에 긴밀하게 연계되어 있다. 예컨대 적은 위성을 못쓰게 하는 지표 상의 건물을 폭파할 수 도 있는데, 이는 고스란히 인터넷 접속을 무력하게 만든다. 사이버전에서 네트워크 공격은 물리적 공격과 결합될 가능성이 있다. 그러므로 사이버전에 대비한 보호조치는 더 광범위한 군사전략의 일환으로 고려돼야 한다.  cmarsan@nww.com

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.